Dostawca jest teraz celem ataku
Aktualizacja 2026
Przez dekadę zespoły bezpieczeństwa skupiały się na jednym celu: nie dopuścić atakujących do sieci. Zabezpieczyć granicę. Zablokować endpointy. Kontrolować, kto może się zalogować. Stary model zakładał, że atakujący będą atakować bezpośrednio Twoją organizację.
Liczby z 2024 roku pokazują, że ten model jest przestarzały. Naruszenia SaaS wzrosły o 300% w 2024 roku według raportu Obsidian Security 2025 SaaS Security Threat Report. Atakujący już nie atakują organizacji bezpośrednio. Atakują narzędzia SaaS, którym te organizacje powierzają swoje dane.
Kiedy Twoje narzędzie chmurowe jest celem ataku, silna wewnętrzna sieć nie pomaga. Dokumentacja klientów, dokumenty pracownicze i wrażliwe treści leżą na serwerach narzędzia. Są zabezpieczone kluczami narzędzia. Są ujawniane, gdy narzędzie zostaje zaatakowane.
Liczby naruszeń SaaS w 2024 roku
Łączne wyniki naruszeń z 2024 roku pokazują skalę ryzyka.
Conduent doświadczył naruszenia, które ujawniło 25,9 miliona rekordów. Conduent obsługuje procesy biznesowe dla agencji rządowych i dużych firm. Zarządza świadczeniami, płatnościami i usługami dla obywateli. 25,9 miliona dotkniętych osób nie miało pojęcia, że ich dane trzyma strona trzecia.
NHS Digital doświadczył naruszenia, które dotknęło 9 milionów pacjentów. Dokumentacja pacjentów została ujawniona przez serwery narzędzia chmurowego. Pacjenci przekazali te informacje swoim dostawcom ochrony zdrowia. Nie mieli powodu wiedzieć, że kiedykolwiek trafiły do zewnętrznej platformy.
To nie są rzadkie zdarzenia. To nowa norma. Duże naruszenia dotykają teraz milionów ludzi, którzy zaufali jednej organizacji, ale ich dane osobowe były przechowywane przez inną, o której nigdy nie wiedzieli. Informacje o tym, jak prawo przypisuje odpowiedzialność w takich przypadkach, znajdziesz w naszym przeglądzie zgodności z RODO.
Dlaczego naruszenia SaaS działają inaczej
Klasyczne naruszenie sieci wymaga wielu kroków. Atakujący muszą ominąć granicę. Muszą poruszać się po systemach. Muszą wydobyć dokumenty. Każdy krok to szansa na wykrycie.
Naruszenia SaaS działają inaczej. Kiedy atakujący włamują się do platformy chmurowej, docierają do dokumentów każdego klienta, który wysyłał treści przez tę platformę. Jedno naruszenie przynosi dokumenty od kilkudziesięciu lub setek klientów jednocześnie.
9-minutowe okno naruszenia – czas od pierwszego dostępu do kradzieży rekordów w systemach SaaS według zapisów incydentów Obsidian Security – pokazuje, jak szybko to działa. Wewnątrz wspólnej platformy atakujący jednocześnie odnajdują treści wielu klientów. Ta koncentracja wartości sprawia, że każdy atak jest wysoce efektywny.
Umowy nie zamykają tej luki. Artykuł 82 RODO przypisuje wspólną odpowiedzialność podmiotom przetwarzającym za spowodowane przez nie naruszenia. Ale udowodnienie winy zajmuje miesiące. A dane są już dawno poza zasięgiem. Sprawdź naszą stronę bezpieczeństwa i zgodności, aby dowiedzieć się, jak narzędzia zero-knowledge zmieniają ten wynik.
DPA nie chroni Twoich danych
Artykuł 28 RODO wymaga, aby organizacje korzystały wyłącznie z podmiotów przetwarzających dających „wystarczające gwarancje”. Umowa o przetwarzaniu danych (DPA) jest pisemnym dowodem tych gwarancji.
Podobnie jak umowa BAA według HIPAA, DPA obejmuje stronę prawną. Nie obejmuje tego, co dzieje się z Twoimi dokumentami na serwerach dostawcy.
Narzędzie chmurowe z w pełni zgodną z RODO DPA może nadal:
- Przechowywać dokumentację klientów przy użyciu szyfrowania po stronie serwera z kluczami trzymanymi przez dostawcę
- Przetwarzać dane pracowników przez współdzielony system używany przez wielu innych klientów
- Przechowywać logi i treści z pamięci podręcznej poza uzgodnionymi zastosowaniami
- Doświadczyć naruszenia ujawniającego to wszystko
DPA ustanawia obowiązki prawne. Nie tworzy technicznej bariery przed ujawnieniem. Kiedy atakujący włamują się na platformę w 9 minut, DPA ich nie spowalnia.
Pomoc w zrozumieniu obowiązków wynikających z Artykułu 28 znajdziesz w słowniku RODO.
Dlaczego wzrost o 300% jest strukturalny
Wzrost o 300% odzwierciedla dwie siły działające jednocześnie.
Po pierwsze, wolumen wrażliwych informacji na platformach SaaS gwałtownie wzrósł w 2024 roku. Więcej organizacji przeniosło więcej pracy do narzędzi chmurowych. Więcej dokumentów trafiło na serwery stron trzecich. Więcej treści oznacza więcej powodów do atakowania tych serwerów.
Po drugie, atakujący dostosowali się. Organizacje wysyłają teraz przez narzędzia SaaS dokumentację klientów, logi finansowe, informacje kadrowe, treści prawne i dokumentację zdrowotną. Uderzenie w jedną platformę przynosi zapisy od wielu klientów. Matematyka nagradza atakowanie platform zamiast poszczególnych organizacji.
Liczba 300% to nie skok przestępczości. To znaczący zwrot strukturalny w kierunkach ataków.
Anonimizacja zero-knowledge jako rozwiązanie
Rozwiązanie zaczyna się od jednej zmiany myślenia. Jeśli każda platforma może zostać zaatakowana – a wyniki 2024 roku to potwierdzają – to żadna platforma nie powinna otrzymywać danych osobowych Twoich klientów w czytelnej formie.
Anonimizacja zero-knowledge przed przesłaniem zmienia ryzyko naruszenia całkowicie. Kiedy platforma przechowująca treści przetwarzane metodą zero-knowledge zostaje zaatakowana:
- Atakujący docierają do zanonimizowanych rekordów bez żadnych czytelnych identyfikatorów klientów
- Nie jest wymagane powiadomienie podmiotów danych, ponieważ żadne dane osobowe nie zostały ujawnione
- Nie jest wymagana sprawa o wspólną odpowiedzialność na podstawie Artykułu 82 RODO
- Naruszenie nie skutkuje działaniem regulacyjnym
Atak uderza w platformę. Nie dociera do Twoich klientów. Ich dane osobowe nigdy nie trafiły na serwery platformy w czytelnej formie.
To nie jest teoria. To prosty fakt: nie ma rekordów do kradzieży, ponieważ żadne nie zostały wysłane w czytelnej formie. FAQ odpowiada na częste pytania dotyczące anonimizacji zero-knowledge. Nasza strona z cennikiem pokazuje, ile kosztuje ta ochrona w skali.
Wzrost o 300% zmienia rachunek ryzyka. Sprawdzanie pozycji bezpieczeństwa i warunków umowy dostawcy oznacza zakład, że Twój dostawca nie stanie się następnym nagłówkiem. Anonimizacja zero-knowledge eliminuje ten zakład.